Основы информационной безопасности

 

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

МОСКОВСКИЙ  ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ЭКОНОМИКИ,

СТАТИСТИКИ  И ИНФОРМАТИКИ (МЭСИ)

 

РЯЗАНСКИЙ ФИЛИАЛ

 

 

 

 

 

 

 

 

 

Контрольная работа

 

По дисциплине: «Основы информационной безопасности»

На тему:1.Информационная безопасность в условиях функцио-

                    нирования в России глобальных  сетей.

                2.Методы криптографии.

                3.Основные нормативные руководящие  документы, ка-

                   сающиеся государственной тайны,  нормативно-справоч-

                   ные документы.

                4.Основные технологии построения  защищенных ЭИС.

Вариант 3.

 

 

 

 

 

 

Выполнила

студентка 3 курса заочной формы обучения

группы ЗНФ-001

Ковылина  Н. С.

 

 

 

Проверила

Федосова  О.А.

 

 

 

Рязань 2013

Содержание: Введение. 1.Информационная безопасность в условиях функционирования    в России глобальных сетей. 2.Методы криптографии. 3.Основные нормативные руководящие документы, касающиеся      государственной тайны, нормативно-справочные документы. 4.Основные технологии  построения защищенных ЭИС. Заключение. Список литературы.

Стр. 3 5   7 10   13 16 18

 

 

Введение

 

Безопасность информации (данных) — состояние защищённости информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

 

Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.

 

1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
2. Целостность: неизменность информации в процессе её передачи или хранения.
3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

 

Информационная безопасность (англ. information security)  — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, под-отчётности, аутентичности и достоверности информации или средств её обработки.

 

Безопасность информации (данных) определяется отсутствием недопустимого  риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями  на данные и (или) на другие ресурсы  автоматизированной информационной системы, используемые в автоматизированной системе.

 

Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

 

Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. 

Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

 

 

 

 

1.Информационная безопасность  в условиях функционирования  в России глобальных сетей.

 

Главной целью создания сети Интернет было обеспечение функциональности при  выходе из строя одного или нескольких ее узлов, цель в общем состояла в  обеспечение безопасности. Однако, исходно сеть создавалась как  незащищенная открытая система, предназначенная  для информационного общения  все возрастающего числа пользователей. При этом подключение новых пользователей  должно было быть максимально простым, а доступ к информации - наиболее удобным. Все это явно противоречит принципам создания защищенной системы, безопасность которой должна быть описана  на всех стадиях ее создания и эксплуатации, а пользователи - наделены четкими  полномочиями.

 

Internet создавался  как незащищенная система, не  предназначенная для хранения  и обработки конфиденциальной  информации. Следовательно, протоколы  используемые в этой сети также  не обеспечивают должного контроля  безопасности и целостности информационных  ресурсов.

На мой  взгляд, в Сети не должна находиться информация, раскрытие которой приведет к серьезным последствиям. Наоборот, в Сети необходимо размещать информацию, распространение которой желательно ее владельцу. При этом всегда необходимо учитывать тот факт, что в любой  момент эта информация может быть перехвачена, искажена или может  стать недоступной. Следовательно  особое внимание должно быть уделено  информационной безопасности в условиях функционирования глобальных сетей. В  России данная проблема особенно актуальна, так как в нашей стране не развита  соответствующим образом ни законодательная, ни программная, ни аппаратная база.

 

По оценке экспертов самым привлекательным  сектором российской экономики для  преступников является кредитно-финансовая система. При совершении преступных деяний наметились определённые тенденции:

 

1. Большинство  компьютерных преступлений в  России и за рубежом 

совершаются путём несанкционированного доступа  к банковским базам данных посредством  телекоммуникационных сетей, чаще всего  с использованием возможностей, которые  предоставляет сеть Internet.

 

2. Абсолютное  большинство преступлений совершается  преступными группировками, состоящими  из "хакерской бригады" и  охранной команды, со специально  подготовленного плацдарма (отдельной  квартиры, офиса и т.п.). Для успешной  атаки очень часто привлекаются  служащие атакуемого учреждения (подкуп, шантаж и т.д.)

 

Уникальное  положение сети Internet, которая не принадлежит одному владельцу, позволяет  использовать её возможности в различных  криминальных направлениях:

 

1.Сеть Internet используется в качестве среды  для преступной деятельности, в  основном для обмена информацией  и налаживания контактов.

 

2.Служит  информационной средой, в которой  осуществляется глобальное информационно-психологическое  воздействие.

 

3.Является  инструментом для совершения  преступлений. Наиболее распространённые  правонарушения:

 

a)Проникновение  в кредитно-финансовую систему,  с целью доступа к конфиденциальной  информации (получение данных, их  изменение или уничтожение).

b)Хищения  электронной наличности.

c)Нарушение  авторских прав.

d)Нелегальное  получение товаров и услуг  (например, бесплатные телефонные  разговоры).

e)Мошенническая  деятельность (финансовые пирамиды, фиктивные фирмы и т.п.).

f)Нарушение  законов, связанных с ограничением  азартных игр.

Для России особенно характерен "синдром Робин  Гуда" – хакеры представляются благородными борцами с душегубами-банкирами. Так как в России пока ещё очень  слабо развито законодательство, регулирующее отношения в информационной среде, то часто целью очередной  атаки банковской системы является не непосредственная перекачка денег, а просто громкая рекламная компания своих способностей с целью получения высокооплачиваемой работы после небольшого или даже условного срока.

 

2.Методы криптографии.

 

Криптогра́фия (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.

 

Изначально криптография изучала  методы шифрования информации — обратимого преобразования открытого (исходного) текста на основе секрет-ного алгоритма и/или ключа в шифрованный текст (шифротекст). Тради-ционная криптография образует раздел симметричных криптосистем, в которых зашифрование и расшифрование проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи (ЭЦП), хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию.

 

Криптография не занимается: защитой  от обмана, подкупа или шантажа  законных абонентов, кражи ключей и  других угроз информации, возникающих в защищенных системах передачи данных.

 

Криптографические методы наиболее часто подразделяются в зависимости от количества ключей, используемых в соответствующих криптоалгоритмах (см. рис. 1):

1. Бесключевые, в которых не  используются какие-либо ключи.

2. Одноключевые - в них используется  некий дополнительный ключевой  параметр - обычно это секретный  ключ.

3. Двухключевые, использующие в  своих вычислениях два ключа:  секретный и открытый.

Рис. 1. Классификация криптографических  методов.

Обзор криптографических  методов.

Прежде чем говорить о шифровании давайте обсудим  и остальные криптографические методы:

 

1.Электронная подпись используется для подтверждения целостности и авторства данных. Целостность данных означает, что данные не были случайно или преднамеренно изменены при их хранении или передаче. 
Алгоритмы электронной подписи используют два вида ключей:

• секретный ключ используется для вычисления электронной подписи;
• открытый ключ используется для ее проверки.

 

При использовании криптографически сильного алгоритма электрон-ной подписи и при грамотном хранении и использовании секретного ключа (то есть при невозможности использования ключа никем, кроме его вла-дельца) никто другой не в состоянии вычислить верную электронную под-пись какого-либо электронного документа.

 

2.Аутентификация позволяет проверить, что пользователь (или уда-ленный компьютер) действительно является тем, за кого он себя выдает. Простейшей схемой аутентификации является парольная - в качестве секретного элемента в ней используется пароль, который предъявляется пользователем при его проверке. Такая схема является слабой, если для ее усиления не применяются специальные административно-технические меры.

 

3. Методы криптографического  контрольного суммирования:

• ключевое и бесключевое хэширование;
• вычисление имитоприставок;
• использование кодов аутентификации сообщений.

 

Фактически, все эти методы различным  образом из данных произволь-ного размера с использованием секретного ключа или без него (бесключе-вое хэширование) вычисляют некую контрольную сумму фиксированного размера, однозначно соответствующую исходным данным. 

4. Генераторы случайных  и псевдослучайных чисел позволяют создавать последовательности случайных чисел, которые широко используются в криптографии, в частности:

• случайные числа необходимы для генерации секретных ключей, которые, в идеале, должны быть абсолютно случайными;
• случайные числа применяются во многих алгоритмах электронной подписи;
• случайные числа используются во многих схемах аутентификации.

 

Не всегда возможно получение абсолютно  случайных чисел - для этого необходимо наличие качественных аппаратных генераторов. Однако, на основе алгоритмов симметричного  шифрования можно построить качественные генераторы псевдослучайных чисел. Криптографические генераторы псевдослучайных  чисел обычно используют большой  пул (seed-значение), содержащий случайную  информацию. Биты генерируется путем  выборки из пула с возможным прогоном через криптографическую хэш-функцию, чтобы спрятать содержимое пула от внешнего наблюдателя. Когда требуется  новая порция бит, пул перемешивается путем шифровки со случайным ключом (его можно взять из неиспользованной пока части пула) так, чтобы каждый бит пула зависел от каждого другого  бита. Новый шум окружения должен добавляться к пулу перед перемешиваниям, дабы сделать предсказание новых  значений пула еще более сложным.

 

3.Основные нормативные  руководящие документы, касающиеся  государственной тайны, нормативно-справочные  документы.